本文經AI新媒體量子位（公眾號ID:QbitAI）授權轉載，轉載請聯系出處。

上回書說到，現在，對抗攻擊的理念已經被應用到隱私保護領域：

通過給照片添加肉眼看不出來的對抗性噪聲，來蒙蔽人臉識別AI，達到保護隱私的效果。

不過，就有好學的同學提出了這樣的疑問，各種App基本都會對圖片重新進行壓縮，那這種照片「隱身衣」不就會因此失效嗎？

最近，武漢大學國家網絡安全學院就和Adobe公司合作，針對這個問題進行了研究， 并提出了一種適用于任意壓縮方式的抗壓縮對抗性圖像生成方案。

也就是說，這是一身具有抗壓縮能力的照片「隱身衣」。

即使經過處理的照片被社交平臺中各種壓縮算法改造一番，也依然能保持對抗性。比如，在微博上就可以達到90%以上的成功率。

抗壓縮的照片「隱身衣」

一般來說，添加了微小擾動的對抗性實例，都會受到圖像壓縮方法的影響。

尤其是現在不同社交平臺采用的壓縮方法都是黑盒算法，壓縮方法的變化也給對抗性實例的「抗壓性」帶來了不小的挑戰。

論文一作王志波教授就指出：

在壓縮算法未知或不可微的情況下，生成抗壓縮的對抗性圖像具有很大挑戰性。

為了解決這樣的問題，這項研究提出了抗壓縮對抗框架ComReAdv。

具體而言，方案分為三個步驟。

步驟一：構建訓練數據集

通過上傳/下載的方式，獲取大量原始圖像和對應的壓縮圖像，構建訓練數據集。

步驟二：壓縮近似

利用原始圖像-壓縮圖像對構成的數據集進行監督學習。

研究人員設計了一個基于編碼-解碼的壓縮近似模型，稱為ComModel。該模型被用于學習如何像黑盒壓縮算法一樣轉換圖像，以達到近似壓縮的目的。

其中，編碼器從原始圖像中提取多尺度特征，如內在紋理和空間內容特征。

對應的，解碼器對壓縮后的對應圖像進行由粗到細的重構，以模仿真實壓縮圖像的壓縮效果。

通過最小化重構圖像和真實壓縮圖像之間的平均絕對誤差（MAE），訓練后的ComModel可作為社交平臺未知壓縮算法的可微近似形式。

步驟三：抗壓縮對抗性圖像生成

構建優化目標，將ComModel融入到對抗性圖像的優化過程中，并使用基于動量的迭代方法(MI-FGSM)進行優化，最終使得生成的對抗性圖像具有較好的抗壓縮能力。

研究人員表示，該方案不需要任何壓縮算法的細節，僅根據適量的原圖和壓縮圖的數據集，便能訓練得到未知壓縮算法的近似形式，并進一步生成相應的抗壓縮對抗性圖像，因此，該方案能應用于所有社交平臺保護用戶隱私。

實驗結果

研究團隊進行了本地仿真測試（JPEG、JPEG2000、WEBP）和真實的社交平臺（Facebook、微博、豆瓣）測試。

本地仿真測試的結果顯示，ComReAdv這一方法在「抗壓縮」方面超越了SOTA方法，并且，可以有效抵抗不同的壓縮方法，具有可擴展性。

而真實社交平臺測試的結果也表明，該方法能顯著提高對抗性圖像的抗壓縮能力。

在被不同的壓縮方法壓縮后，誤導Resnet50分類模型的成功率達到了最先進的水平，在微博上可以達到90%以上的成功率。

關于作者

論文一作王志波，是武漢大學國家網絡安全學院教授、博士生導師。

王志波教授本科畢業于浙江大學信息學院自動化專業，2014年獲美國田納西大學計算機工程博士的學位。

目前的研究方向包括物聯網、移動感知與計算、大數據、網絡安全與隱私保護、人工智能安全。

對于這項研究，王志波教授表示：

我們認為這項技術可以被所有社交網絡用戶采用，來防止分享圖像被非法濫用、識別。當然，模型的抗壓縮能力仍需進一步提高，我們團隊接下來會對此進行更深入的研究。